Prévenir l’occurrence des fuites & violations de données

Mercredi, 3 septembre 2025

Mesures & pratiques utiles pour protéger les actifs de votre entreprise

Dans une principauté lointaine du Royaume de Bonanza se dressait le Coffre-Fort de Veritas, un vaste entrepôt où étaient conservés les secrets de chaque citoyen. Les savants, les marchands et les nobles confiaient leurs parchemins les plus précieux – chroniques de naissance, documents financiers, accords commerciaux et histoires familiales – dans ses chambres de fer. Les Gardiens du Coffre-Fort de Veritas – quatre sentinelles vigilantes en armures étincelantes – veillaient sur d’épaisses portes de chêne. Chaque sentinelle représentait une couche de protection : la Porte Extérieure (pare-feu), les Tours de Guet (détection d’intrusion), les Chambres scellées (cryptage), etc. Ensemble, ces Gardiens formaient un cercle ininterrompu autour du Coffre-Fort de Veritas. Par une nuit de pleine lune, un apprenti de rang inférieur nommé Novicia serra trop fort sa ceinture, s’appuya contre la porte est desserra par inadvertance une charnière cachée. Une très mince fissure s’est formée dans la ferronnerie – à peine perceptible, mais suffisante pour laisser passer un léger sifflement d’air. La porte du Coffre-Fort de Veritas s’ouvrait imperceptiblement par une minuscule brèche. De cette minuscule fissure, le silence du Coffre-Fort de Veritas s’échappa en volutes de parchemins et d’encre. À l’extérieur des locaux protégés du Coffre-Fort de Veritas, coursiers et autres messagers en déplacement capturaient des fragments de lettres, les commerçants reconstituaient des bribes de contrats précieux, et les espions étrangers flairaient une opportunité. Chaque secret volé alimentait le suivant, jusqu’à ce que les rumeurs enflassent comme une tempête naissante, véhiculées par les murmures du vent. En quelques semaines, les secrets du Coffre-Fort de Veritas inondèrent les étalages au marché du Royaume de Bonanza.

Les citoyens voyaient leurs dossiers financiers et leurs droits d’héritage minés, les rivaux instrumentalisaient les scandales familiaux, et la réputation du Royaume de Bonanza était en lambeaux. La fissure silencieuse s’était transformée en une brèche rugissante, alimentant une éruption d’informations.

Par rapport à la Prévention des fuites & violations de données – le sujet de notre Infolettre d’août 2025 –, les leçons morales à tirer des fuites et divulgations représentées ci-dessus du Coffre-Fort de Veritas pourraient être circonscrites comme suit : (1) inspecter chaque charnière et chaque axe de charnière : une surveillance continuelle peut détecter les plus petites failles; (2) former chaque apprenti : l’erreur humaine peut affaiblir les défenses les plus puissantes; (3) renforcer les barrières multicouches : à elle seule, aucune sentinelle ne peut retenir une marée montante; (4) sceller et resceller avec précision et soin : des correctifs rapides peuvent fermer les fissures avant qu’elles ne s’élargissent de manière indiscernable; (5) se préparer aux pires violations : un Plan d’intervention face aux incidents (PIFI) peut aider vos entreprises à s’ajuster et à se reconstruire.

Impacts multisectoriels des fuites de données sur le contenu de données multicouches

Au Canada, les fuites de données peuvent affecter un large éventail d’informations, selon le secteur d’activité et les pratiques de l’organisation en matière de données. Les lois sur la protection de la vie privée, comme la LPRPDE, et les réglementations provinciales régissent la protection des données, en particulier dans les secteurs confidentiels, comme les soins de santé et le secteur public. Les atteintes à la protection des données peuvent entraîner de graves conséquences juridiques, financières et réputationnelles pour les organisations qui ne protègent pas les renseignements personnels.

Les données de santé, ou Renseignements personnels sur la santé (RPS), sont l’une des catégories les plus confidentielles, notamment les dossiers médicaux et les antécédents médicaux des patients. Les données sur la santé sont réglementées par des lois comme la LPRPS de l’Ontario, et toute atteinte à la protection de ces données peut entraîner de lourdes sanctions et une perte de confiance du public. De même, les Renseignements personnels identifiables (RPI), comme les noms, les NAS et les données biométriques, sont très vulnérables. Leur divulgation peut entraîner des vols d’identité et des fraudes. En vertu de la LPRPDE, les organisations doivent signaler toute atteinte grave à la protection de leurs données.

Les entreprises sont également exposées aux risques de fuites de données confidentielles et de données exclusives, comme le code source, les algorithmes et les plans stratégiques. De telles violations peuvent éroder l’avantage concurrentiel et résulter à des poursuites judiciaires. Les bases de données clients contenant des données comportementales et transactionnelles sont fréquemment ciblées, et leur divulgation peut entraîner des atteintes à la réputation et des cyberattaques par hameçonnage. Les organisations peuvent également être tenues responsables, en vertu des lois sur la protection de la vie privée ou de leurs obligations contractuelles, de tout manquement à la protection de ces données.

Les documents juridiques, les dossiers financiers et les données gouvernementales constituent d’autres cibles de grande valeur. Les fuites de données contractuelles ou d’informations classifiées peuvent perturber les négociations, exposer les responsabilités et même menacer la sécurité nationale. Les cyberattaquants recherchent également les identifiants d’authentification et les données d’infrastructure informatique, ce qui peut permettre un accès plus approfondi aux systèmes informatiques et faciliter les cyberattaques par rançongiciel. La protection de ces actifs est essentielle au maintien de l’intégrité opérationnelle et de la confiance du public.

Les fuites de données : aperçu conceptuel abrégé

Les 19 monographies [1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19] citées dans la Section Ressources et Références de cette Infolettre du mois d’août 2025 ont été consultées, synthétisées et adaptées pour la rédaction de plusieurs parties de ce document.

D’un point de vue de l’informatique holistique, les fuites de données désignent la divulgation non autorisée de renseignements secrets, confidentiels ou personnels provenant des systèmes ou réseaux informatiques d’une organisation à une tierce partie. Les fuites de données impliquent des pertes de données, c’est-à-dire la suppression ou la destruction involontaire d’informations confidentielles, les rendant inaccessibles ou irrécupérables.

Les fuites de données peuvent être accidentelles (par exemple : mauvaises configurations ou erreurs humaines) ou intentionnelles (divulgation intentionnelle d’informations par des personnes internes). Elles peuvent survenir sans exploitation directe des vulnérabilités de sécurité et entraîner de graves conséquences, notamment une atteinte à la réputation, des sanctions juridiques et des désavantages concurrentiels.

Par ailleurs, les fuites de données surviennent lorsque des informations complexes, confidentielles ou protégées sont exposées par inadvertance à une partie non autorisée. Une telle exposition peut se produire via des canaux numériques (courriels, stockage infonuagique ou journaux d’applications) ou via des supports physiques, et elle résulte généralement d’erreurs de sécurité plutôt que de cyberattaques délibérées.

Les fuites de données : quelques caractéristiques principales

Les fuites de données peuvent provenir de l’intérieur de l’organisation (sources internes), mais aussi d’une mauvaise configuration du stockage, d’erreurs humaines ou d’actions internes involontaires. Les fuites de données diffèrent des violations de données, qui impliquent généralement un attaquant externe exploitant une vulnérabilité. En règle générale, les fuites de données ne sont pas reliées à des outils de piratage ou à des logiciels malveillants, car les données restent parfois simplement exposées.

Différences entre la fuite de données et la violation de données

Pourquoi est-il important de distinguer une fuite de données d’une violation de données ? Déterminer si un incident est une fuite ou une violation peut influencer à la fois les mesures correctives techniques (correctifs ou application des politiques) et les obligations légales, telle que la divulgation publique en vertu de réglementations telles que la LPRPDE, le RGPD et la loi HIPAA. D’une part, une violation de données désigne un événement où un acteur externe ou interne exploite intentionnellement les vulnérabilités des systèmes informatiques ou des identifiants volés pour obtenir un accès non autorisé à des informations confidentielles à des fins malveillantes. D’autre part, une fuite de données se produit lorsque des données confidentielles sont divulguées involontairement – souvent en raison de mauvaises configurations, d’une erreur humaine ou de contrôles inadéquats – sans cyberattaque directe ni intention malveillante.

Figure 1 : Principales différences entre fuite et violation de données

Bien que la fuite et la violation de données soient deux concepts informatiques distincts, les deux colonnes ci-dessous ne s’excluent pas mutuellement en termes de technologies de l’information.

Caractéristiques majeures Fuite de données Violation de données
Intentions Aucune intention malveillante; divulgation accidentelle, par négligence ou inadvertance. Intention malveillante; accès délibérément non autorisé.
Déclencheurs Mauvaises configurations internes, erreurs humaines, informatique fantôme. Acteurs externes exploitant des vulnérabilités, hameçonnage et logiciels malveillants.
Détections Souvent découvert durant des audits ou lorsque des tiers repèrent des données exposées. Détecté par des alertes de sécurité, des anomalies dans les journaux ou des enquêtes informatiques judiciaires.
Étendues de l’impact Peut être limité à des ensembles de données précises à petite échelle. Vol potentiellement à grande échelle, demande de rançon ou divulgation publique de données confidentielles.
Conséquences juridiques et exigences de conformité Se concentre sur la mise à jour des configurations et la formation du personnel. Nécessite des avis de violation et des amendes réglementaires. Nécessite des notifications de violation, des amendes réglementaires, des rapports informatiques et des litiges potentiellement coûteux.

Exemples de fuites et violations de données

  • Fuite de données : un espace de stockage de services d’infonuagique, laissé publiquement accessible, peut divulguer accidentellement l’intégralité d’une base de données client.
  • Violation de données : des cyberattaquants peuvent exploiter une faille d’application web non corrigée pour exfiltrer des millions d’enregistrements d’utilisateurs et les vendre sur le Web caché.

Stratégies d’intervention face aux fuites et violations de données

  • La correction des fuites implique des révisions de configuration, des politiques d’accès plus strictes, des vérifications régulières et la formation du personnel afin de prévenir toute exposition accidentelle.
  • L’intervention face aux violations nécessite la rédaction, la documentation, l’application et l’exécution d’un Plan d’intervention face aux incidents (PIFI), la réalisation des enquêtes informatiques judiciaires, la notification des autorités réglementaires et des personnes concernées, et le renforcement des cyberdéfenses du périmètre.

Pourquoi les fuites de données sont-elles conséquentes pour les activités quotidiennes des PME?

Les fuites de données sont conséquentes pour les activités quotidiennes des PME, car la divulgation de données personnelles peut entraîner des usurpations d’identité et des manipulations frauduleuses. Des secrets d’entreprise tombés entre de mauvaises mains peuvent ébranler la confiance et la satisfaction des clients, et réduire leurs avantages concurrentiels.

Des amendes réglementaires et des poursuites coûteuses sont souvent les répercussions à des fuites de données à grande échelle. La perte de la précieuse confiance des clients peut avoir un impact financier à long terme sur les activités quotidiennes et la pérennité de tous les types d’organisations.

Quelques causes courantes des fuites de données

Les fuites de données résultent souvent d’une combinaison d’erreurs techniques, de fautes humaines et des vulnérabilités négligées. Voici une analyse sommaire des causes les plus fréquentes de divulgation des données :

1. Mauvaises configurations techniques

  • Stockage dans l’infonuagique mal configuré : compartiments ou dossiers accessibles au public sans autorisations appropriées.
  • Logiciels non corrigés : systèmes désuets présentant des vulnérabilités connues.
  • Mots de passe par défaut : identifiants d’usine inchangés.
  • Systèmes informatiques hérités : outils et appareils anciens dépourvus de fonctionnalités de sécurité modernes.

2. Erreurs humaines

  • Partage accidentel : envoi de fichiers sensibles au mauvais destinataire.
  • Mauvaise gestion des mots de passe : réutilisation de mots de passe faibles ou non sécurisés.
  • Appareils perdus ou volés : ordinateurs portables, clés USB ou téléphones intelligents contenant des données non chiffrées.
  • Informatique fantôme : utilisation d’applications ou de services non autorisés par les employés.

3. Piratage psychologique et menaces internes

  • Cyberattaques par hameçonnage : inciter les utilisateurs à révéler leurs identifiants ou à cliquer sur des hyperliens malveillants.
  • Malveillants internes : employés ou sous-traitants divulguant intentionnellement et malicieusement des données.
  • Piratage psychologique : tactiques d’usurpation d’identité pour gagner la confiance et obtenir un accès non autorisé.

4. Faiblesses de l’infrastructure informatique

  • Contrôles d’accès faibles : autorisations trop étendues ou absence de segmentation.
  • Surveillance inadéquate : absence d’alertes en cas d’accès ou de transferts de données inhabituels.
  • Réseaux non sécurisés : Wi-Fi public ou systèmes informatiques internes mal protégés.

5. Données oubliées et données anciennes

  • Archives non protégées : anciennes sauvegardes ou enregistrements laissés exposés.
  • Comptes orphelins : anciens employés ayant encore accès.
  • Systèmes informatiques inutilisés : plateformes héritées toujours connectées à des données confidentielles.

Mesures stratégiques & meilleures pratiques utiles pour prévenir l’occurrence des fuites de données

1. Cadre de gouvernance et de politique

Établir un fondement de politique solide est la garantie que chaque membre de l’organisation comprend son rôle dans la protection des données.

Les politiques doivent être des documents évolutifs, révisés au moins une fois par année ou à chaque changement technologique majeur.

  • Définir les niveaux de classification des données (par exemple : données publiques, internes, confidentielles, restreintes).
  • Imposer des procédures de traitement des données par classification (entreposage, partage, conservation).
  • Appliquer le principe du moindre privilège : accorder aux utilisateurs uniquement les accès dont ils ont besoin.
  • Exiger des évaluations de sécurité des fournisseurs et des tiers avant l’intégration.
  • Supprimer définitivement les données qui ne sont plus pertinentes pour les opérations ou les exigences de conformité.

2. Gestion des identités et des accès (GIA)

Des contrôles GIA robustes réduisent la surface d’attaque en gérant précisément qui peut voir ou déplacer les informations confidentielles.

  • Mettre en œuvre l’authentification multifactorielle (AMF) pour tous les comptes à privilèges.
  • Utiliser le Contrôle d’accès basé sur les rôles (CABR) pour aligner les autorisations sur les fonctions.
  • Automatiser les flux d’intégration et de départ pour éviter les comptes orphelins.
  • Vérifier et recertifier régulièrement les privilèges, idéalement tous les trimestres.

3. Contrôles techniques

Le déploiement d’outils et de configurations adaptés prévient les divulgations accidentelles et les exploitations courantes des vulnérabilités.

Figure 2 : Contrôles techniques pour la prévention des fuites de données

Secteurs des contrôles techniques Mesures stratégiques & meilleures pratiques
Données au repos Chiffrer les fichiers, les volumes de disque et les bases de données
Données en transit Mettre en œuvre le TLS 1.3, les VPN et passerelles API sécurisées
Protection des terminaux

 

 Déployer des agents DLP basés sur l’hôte, des systèmes EDR et des protections contre l’effacement des disques
Sécurité du réseau Segmenter les réseaux, utiliser des pare-feux et prévenir les intrusions
Gestion de la configuration Renforcer les bases de référence, désactiver les identifiants par défaut et automatiser les correctifs

4. Formation et sensibilisation des employés

L’erreur humaine demeure l’une des principales causes des fuites de données. Une formation continuelle peut transformer vos équipes en première ligne de cyberdéfense.

  • Organiser des formations obligatoires de sensibilisation à la sécurité dès l’embauche et à chaque année.
  • Simuler des exercices d’hameçonnage et de traitement des données pour évaluer l’état de la préparation.
  • Publier des guides de référence rapides sur la façon de signaler les fuites suspectées.
  • Célébrer et récompenser les « bonnes prises » lorsque les employés détectent des problèmes potentiels.

5. Surveillance, audit et plan d’intervention face aux incidents

Une détection précoce et une intervention structurée minimisent l’impact d’une fuite de données.

  1. Surveillance continuelle
    • Inspecter les journaux des terminaux, des périphériques réseau, des services infonuagiques et des applications.
    • Appliquer l’Analyse du comportement des utilisateurs (ACU) pour détecter les anomalies.
  2. Audits réguliers
    • Effectuer des examens trimestriels de configuration et d’accès.
    • Faire appel à des vérificateurs externes pour des évaluations de sécurité impartiales.
  3. Plan d’intervention face aux incidents
  • Définir les étapes de triage, de confinement, d’éradication et de reprise des activités.
  • Établir des protocoles de communication à l’interne et avec les autorités de réglementation.
  • Effectuer des exercices pratiques pour valider et peaufiner le plan d’intervention face aux incidents.

6. Amélioration continuelle et conformité

La cybersécurité est un cheminement et non une destination. Harmoniser vos efforts réguliers avec l’évolution des normes et du paysage des cybermenaces en appliquant les approches suivantes :

  • Faire le suivi et corriger les résultats des analyses de vulnérabilité et des tests d’intrusion.
  • Se tenir au courant des réglementations applicables (LPRPDE, RGPD, HIPAA) et intégrer les nouvelles exigences.
  • Comparer les référentiels sectoriels (ISO 27001, NIST CSF, contrôles CIS).
  • Investir dans les défenses émergentes : architecture zéro confiance, sablière des données et informatique confidentielle.
  • Envisager le chiffrement homomorphe et la façon dont il permet les calculs sur des données chiffrées.
  • Utiliser la prévention automatisée des fuites de données (DLP) avec une inspection de contenu basée sur l’apprentissage automatique.
  • Penser aux technologies d’amélioration de la confidentialité (PET) pour sécuriser le partage et l’analyse des données.
  • Établir une culture axée sur la sécurité : adhésion de la direction, champions de la sécurité et collaborations interservices.
  • Exploiter le commutateur de périphérie – Secure Access Service Edge (SASE) – pour faire converger les contrôles de sécurité réseau et techniques.

Efficacité concrète des mesures et bonnes pratiques de prévention des fuites de données

Quelle est l’efficacité des mesures et des meilleures pratiques décrites ci-dessus dans des situations réelles? Voici nos réponses concises à cette question :

Cadre de gouvernance et de politique

Les organisations qui mettent en œuvre des politiques formelles de classification et de traitement des données constatent une baisse significative des fuites accidentelles. Une étude réalisée en 2021 par UpGuard a révélé que la moitié des entreprises du Fortune 500 divulguaient des informations confidentielles par des documents publics mal configurés, ce qui souligne l’importance des cadres de gouvernance pour réduire les oublis humains et systémiques.

Gestion des identités et des accès

L’authentification multifactorielle (AMF) et les Contrôles d’accès basés sur les rôles (CABR) sont très efficaces pour empêcher l’accès non autorisé aux données. Les analyses sectorielles montrent que l’AMF bloque plus de 99 % des attaques automatisées de vol d’identifiants, tandis que la re-certification régulière des privilèges limite les comptes « orphelins » et limite les privilèges accordés à certains employés.

Contrôles techniques

Le chiffrement des données au repos et en transit garantit que les fichiers exfiltrés demeurent illisibles. Les solutions DLP modernes qui inspectent le contenu sur les réseaux, les terminaux et les dépôts infonuagiques peuvent détecter et bloquer jusqu’à 95 % des transferts non autorisés.

Effectuer le suivi de votre taux de prévention des pertes ou fuites de données (le ratio incidents bloqués/tentatives totales) est essentiel pour quantifier la performance de vos outils.

Formation et sensibilisation des employés

L’erreur humaine est à l’origine de nombreuses fuites de données. Les organisations qui effectuent des simulations d’hameçonnage périodiques signalent une réduction de 50 à 70 % du taux de clics sur les courriels malveillants.

Les programmes continuels de sensibilisation à la sécurité accélèrent également le signalement des incidents, contribuant ainsi à réduire le Temps moyen de détection (TMDD) et le Temps moyen d’intervention (TMDI) face aux activités suspectes.

Surveillance, audit et plan d’intervention en cas d’incidents

La surveillance continuelle, utilisant les analyses SIEM, UEBA et DLP, permet de détecter les anomalies en temps réel. Les meilleures équipes de sécurité atteignent un TMDD de moins d’une heure et un TMDI de moins de deux heures, ce qui limite les fuites avant que des pertes de données majeures ne surviennent. Les audits de configuration trimestriels et les exercices sur table affinent davantage les flux de travail du plan d’intervention face aux incidents.

Limites et défis relatifs aux mesures de prévention des fuites de données

  • Les faux positifs peuvent engendrer de la lassitude face aux alertes et des solutions de contournement.
  • Les menaces internes et les erreurs de configuration de tiers peuvent échapper aux contrôles normatifs de DLP.
  • L’évolution des environnements (migrations vers l’infonuagique, télétravail) exige une politique continuelle, une surveillance régulière, des vérifications cohérentes et des mises à jour des outils.

Combinées judicieusement (cadre de gouvernance et de politique, GIA, chiffrement, formation du personnel, surveillance), ces mesures peuvent réduire les fuites de données accidentelles de plus de 60 %, diminuer les coûts de réparation des failles et renforcer la conformité aux réglementations telles que la LPRPDE, le RGPD, et la HIPAA. Une amélioration constante, des indicateurs fiables et l’alignement sur des référentiels tels que la norme ISO 27001 ou le NIST CSF vous permettent de garder une longueur d’avance sur les cybermenaces émergentes.

2 ÉTUDES DE CAS sur la prévention des fuites de données pour les organisations au Canada

L’étude de cas suivante est une synthèse et une adaptation d’un article de sensibilisation aux fuites de données (Enquêtes sur les entreprises) publié sur le site Web du Commissariat à la protection de la vie privée du Canada [19]. Elle s’intitule Enquête sur la conformité de Desjardins à la LPRPDE suite à l’atteinte aux mesures de sécurité des renseignements personnels survenue entre 2017 et 2019.

ÉTUDE DE CAS 1 : Vol de données à Desjardins

Qu’est-ce qui s’est passé?

Le 20 juin 2019, l’entreprise financière Desjardins a révélé qu’un de ses employés avait illégalement consulté et divulgué les informations personnelles de ses clients à une tierce partie, ce qui a entraîné l’un des plus grands incidents de sécurité des données au Canada. Il a fallu plusieurs mois, à compter de la première transaction suspecte signalée en décembre 2018, pour découvrir l’ampleur du stratagème.

Quelle était l’ampleur de la violation des données?

  • Initialement signalée comme touchant 2,7 millions de particuliers et 173 000 entreprises.
  • Inclue des données personnelles, telles que les noms, adresses, dates de naissance, numéros d’assurance sociale (NAS), adresses courriel et détails des transactions. Les mots de passe, les questions de sécurité et les NIP n’ont pas été compromis.
  • Ce chiffre a ensuite été révisé à 4,2 millions de membres individuels, contre 2,7 millions initialement, l’enquête ayant révélé davantage de comptes bancaires affectés.

Quels étaient les indicateurs clefs de violation des données?

Indicateurs Chiffres initiaux Chiffres révisés
Membres/clients individuels 2,7 millions 4,2 millions
Membres/clients d’affaires 173,000 Non détaillés séparément

Comment la fuite de données s’est-elle produite?

  • Un seul employé interne malveillant a accédé aux données sur une période prolongée.
  • En mai 2019, Desjardins Groupe financier a signalé une activité douteuse au sein de son entreprise et a demandé l’intervention de la police.
  • L’employé malveillant a été congédié et arrêté par le Service de police de la Ville de Laval.

Quels ont été les impacts et les risques?

  • Risque accru de vol d’identité et de fraude ciblée. En effet, un ex-président du groupe financier Desjardins a révélé avoir été victime d’usurpation d’identité après une violation de données.
  • Déclenchement d’une séance d’urgence du Comité de la sécurité publique de la Chambre des communes du Canada afin d’examiner les lacunes juridiques en matière de protection des numéros d’assurance sociale (NAS) des Canadiens.
  • Aucune augmentation immédiate des cas de fraude n’a été signalée par Desjardins Groupe financier, mais une surveillance à long terme est demeurée essentielle.

Comment les répercussions se sont-elles déroulées & quelle a été l’intervention?

  • Des recours collectifs ont été intentés au Québec, aboutissant à une entente de règlement soumise à l’approbation du tribunal le 7 février 2022.
  • Le règlement prévoit jusqu’à 200 852 500 $ de recouvrements individuels :
  • Jusqu’à 90 $ pour toute personne dont les données personnelles ont été divulguées.
  • Jusqu’à 1 000 $ pour les victimes dont l’identité a été volée le 1er janvier 2017 ou après cette date.
  • Desjardins Groupe financier a mis en place des services de protection de l’identité pour ses membres actuels et anciens, notamment une surveillance du crédit et un accompagnement personnalisé au recouvrement.

Quelles ont été les leçons apprises en matière de prévention des atteintes à la protection des données?

  • Les menaces internes peuvent éclipser les piratages externes; la surveillance continuelle des accès des employés est essentielle.
  • Des vérifications régulières, des politiques d’accès rigoureuses de « privilège minimum » et une intervention rapide en matière de technologies de l’information permettent de réduire les délais de détection et de confinement.
  • Une communication transparente et des offres proactives de protection de l’identité contribuent à rétablir la confiance de millions de membres/clients envers Desjardins Groupe financier.

ÉTUDE DE CAS 2: Violation des données chez LifeLabs

Qu’est-ce qui s’est passé?

En octobre 2019, l’entreprise LifeLabs a été victime d’une cyberattaque qui a exploité une vulnérabilité logicielle non corrigée, permettant un accès non autorisé à ses systèmes et compromettant des données confidentielles de santé. Les cyberattaquants ont exigé une rançon pour la restitution et la non-divulgation des informations volées, et LifeLabs aurait payé pour empêcher leur divulgation.

Quelle était l’ampleur de la violation des données?

  • Environ 15 millions de Canadiens ont vu leurs renseignements personnels sur la santé exposés.
  • Les données compromises comprenaient des résultats de laboratoire, des numéros de carte d’assurance maladie, des adresses courriel et résidentiels, et d’autres données démographiques.
  • Aucune preuve n’indique que les identifiants de compte bancaire ou les mots de passe aient été volés.

Quels étaient les indicateurs clefs de la violation des données?

Indicateurs Valeurs démographiques et financières
Canadiens touchés En moyenne : 15 millions
Plafond de règlement 9,8 millions de dollars
Réclamations valides reçues Plus de 900 000 réclamations

Comment la fuite des données s’est-elle produite?

  • Un important correctif logiciel n’a pas été appliqué, laissant les systèmes informatiques vulnérables à l’exploitation par des cyberattaquants externes.
  • Des cyberattaquants ont réussi à pénétrer le système informatique, ont exfiltré des données et ont émis une demande de rançon; LifeLabs a payé pour obtenir la promesse de ne pas publier les données.
  • Les Commissaires à l’information et à la protection de la vie privée de l’Ontario et de la Colombie-Britannique ont lancé une enquête conjointe en 2020, et ils ont publié leur rapport en juin de la même année.
  • LifeLabs a lutté pendant quatre ans pour préserver la confidentialité des conclusions, mais un tribunal de l’Ontario a ordonné la publication du rapport en novembre 2024.

Quels ont été les impacts et les risques?

  • Atteinte grave à la vie privée concernant des renseignements personnels très confidentiels sur la santé.
  • Non-conformité à la LPRPS de l’Ontario et à la PIPA de la Colombie-Britannique, ce qui a donné lieu à un examen réglementaire et à des ordonnances correctives.
  • A miné la confiance des patients et soulevé des inquiétudes quant à la protection des écosystèmes de données sur la santé au Canada.

Quelles ont été les réactions réglementaires et juridiques?

  • L’enquête conjointe IPC/OIPC a révélé que LifeLabs n’avait pas pris les mesures raisonnables pour protéger les données médicales de ses clients et avait recueilli plus d’informations que nécessaire.
  • Plusieurs ordonnances correctives ont été émises, allant du renforcement des effectifs de sécurité au resserrement des pratiques de collecte de données médicales, que LifeLabs a depuis mises en œuvre.
  • Un règlement national de recours collectif, plafonné à 9,8 millions de dollars.
  • Les clients admissibles peuvent réclamer jusqu’à 150 dollars. Plus de 900 000 réclamations valides ont été reçues, pour un versement moyen de 78,60 $ par demandeur.

Quelles ont été les leçons apprises en matière de prévention des violations de données?

  • Des programmes rigoureux de gestion des correctifs et une analyse continuelle des vulnérabilités sont essentiels pour bloquer les exploitations de violations des données similaires.
  • Les stratégies de minimisation des données réduisent le volume d’informations à risque lors d’une violation des données et elles limitent l’exposition réglementaire.
  • Des plans bien définis d’intervention face aux incidents et régulièrement testés garantissent une maîtrise, une enquête et une communication rapides.
  • La transparence avec les autorités réglementaires et les personnes concernées contribue à rétablir la confiance des patients et à démontrer l’imputabilité.

Outils utiles pour prévenir les fuites de données affectant les PME

Cette section de notre Infolettre du mois d’août 2025 a été soigneusement recherchée et rédigée afin d’optimiser la sécurité des PME qui font tout leur possible pour livrer la marchandise malgré les cybermenaces et les cyberattaques inattendues. Vous trouverez ci-dessous une sélection de solutions économiques et adaptées aux PME, couvrant les principaux domaines de la prévention des fuites de données. Chaque outil est soigneusement sélectionné pour sa facilité de déploiement, son évolutivité et son soutien technique performant pour les petites équipes informatiques travaillant au sein des PME.

Outils utiles pour prévenir les fuites de données affectant les PME

Cette section de notre Infolettre du mois d’août 2025 a été soigneusement recherchée et rédigée afin d’optimiser la sécurité des PME qui font tout leur possible pour livrer la marchandise malgré les cybermenaces et les cyberattaques inattendues. Vous trouverez ci-dessous une sélection de solutions économiques et adaptées aux PME, couvrant les principaux domaines de la prévention des fuites de données. Chaque outil est soigneusement sélectionné pour sa facilité de déploiement, son évolutivité et son soutien technique performant pour les petites équipes informatiques travaillant au sein des PME. En raison de la nature de cette infolettre, seuls les outils gratuits sont mis en avant.

Pourquoi les PME ont-elles besoin de prévenir les fuites de données?

Les violations de données peuvent paralyser les PME : pénalités financières, perte de confiance des clients et atteinte à leur réputation. Par exemple, en 2023, une grande entreprise de technologie a été condamnée à une amende de 1,3 milliard de dollars en vertu du RGPD, une dépense que peu de PME pourraient supporter. Les catégories présentées ci-dessous peuvent vous aider à mettre en place une cyberdéfense multicouche. N’hésitez pas à adapter vos solutions en fonction de votre environnement de travail et de votre budget PME.

Solutions Logiciel libre de prévention des pertes de données (DLP)

La prévention des pertes de données (DLP) englobe des stratégies, des processus et des outils conçus pour identifier, surveiller et contrôler proactivement les informations confidentielles afin d’empêcher tout accès ou partage non autorisé.

Figure 3 : Outils gratuits pour la prévention des fuites de données dans les PME

Outils gratuits de prévention des fuites de données Portées Caractéristiques principales
OpenDLP Partages réseau et terminaux Analyse massive des partages de fichiers
MyDLP Agent et passerelle de terminal

 

 Contrôle des transferts de données USB, courriel et Web
Wazuh SIEM et IDS basés sur l’hôte Surveillance de l’intégrité des fichiers en temps réel
OSSEC IDS fondé sur l’hôte et conformité Analyse des journaux et détection des trousses administrateurs pirates ou logiciels passe-droit

Prévention des fuites de code et des secrets

Les fuites accidentelles se produisent souvent lorsque des clés API, des jetons ou des identifiants sont codés en dur dans des référentiels. Des outils d’analyse continuelle s’intègrent aux pipelines CI/CD pour détecter ces fuites avant la fusion du code :

  • Piiano Flows : suit les flux de données et les expositions d’informations personnelles identifiables, grâce à des analyses quotidiennes et une analyse pilotée par l’IA.
  • GitGuardian (offre gratuite) : surveille les dépôts publics GitHub à la recherche de secrets exposés et émet des alertes en cas d’incidents et de cyberattaques potentielles.
  • TruffleHog : recherche, dans l’historique Git, les chaînes à haute entropie indiquant la présence de secrets.
  • GitLeaks : utilise des modèles d’expressions régulières pour détecter les identifiants dans l’historique des fuites et violations de données.

Surveillance du Web et du Web caché

Examiner périodiquement si les comptes de clients ou d’entreprises figurent dans les bases de données publiques sur les infractions permet de prévenir les dommages potentiels. Parmi les services gratuits, on trouve :

  • Have I Been Pwned : surveille les adresses courriel pour détecter les violations connues des données.
  • SpyCloud (communautaire) : offre des alertes de base en cas de violation des identifiants.

Chiffrement et défense des terminaux

La sécurisation des données au repos et la lutte contre l’exfiltration par des logiciels malveillants sont des étapes cruciales :

  • VeraCrypt : Chiffrement Logiciel libre du disque et des conteneurs.
  • BitLocker : Chiffrement intégré du disque Windows Pro/Enterprise.
  • ClamAV : Moteur antivirus gratuit pour détecter les logiciels malveillants de type voleur des renseignements.

Conseils de mise en œuvre

  • Intégrer des scanneurs secrets aux flux des requêtes d’extraction.
  • Définir et appliquer des politiques de prévention des pertes de données (DLP) sur les disques partagés et les passerelles de messagerie.
  • Planifier des vérifications régulières du Web caché et des bases de données répertoriant les fuites.
  • Chiffrer toutes les données confidentielles au repos et en transit.
  • Former le personnel à la gestion des identifiants et à la reconnaissance des tentatives d’hameçonnage.

Outils de prévention des fuites de données : critères de sélection pour les PME

  • Simplicité : prioriser les options SaaS ou infonuagiques natives avec intégration guidée.
  • Coût : privilégier une tarification par utilisateur ou par paliers, évolutive en fonction de la croissance.
  • Intégration : s’assurer que le logiciel est compatible avec votre système informatique actuel, par exemple, Microsoft 365, AWS et les systèmes de point de vente.
  • Soutien et documentation : des ressources performantes des fournisseurs réduisent les délais de résolution pour les petites équipes informatiques.
  • Agents légers : minimiser l’impact sur les performances des terminaux et des serveurs.

Outils de prévention des fuites de données : feuille de route de mise en œuvre pour les PME

  1. Évaluer et prioriser
    • Cartographier vos données clés et classer leur confidentialité
    • Identifier les canaux à haut risque : courriels, partages infonuagiques, clés USB.
  2. Déployer les contrôles de base
    • Commencer par des politiques de prévention des fuites de données pour les courriels et le stockage infonuagique.
    • Activer l’authentification multifactorielle (AMF) via une solution IAM pour tous les comptes à haut risque.
  3. Mettre en œuvre la surveillance des couches
    • Déployer une surveillance du Web caché pour détecter les fuites des identifiants.
    • Configurer des alertes d’activité utilisateur pour détecter les accès anormaux aux fichiers.
  4. Appliquer un réglage continuel
    • Examiner les faux positifs mensuellement et peaufiner les politiques.
    • Mener des exercices de simulation trimestriels pour valider l’intervention face aux incidents.
  5. Adapter et étendre la couverture
    • Élargir la couverture à de nouveaux entrepôts de données (journaux IdO, environnements de développement).
    • Intégrer des flux de renseignements sur les menaces pour anticiper les nouveaux vecteurs de fuites des données.
  6. Piloter, s’abonner, planifier et explorer
    • Piloter un essai de DLP avec une unité d’affaires afin de mesurer les incidents bloqués et les frais administratifs.
    • Souscrire à un service géré de surveillance du Web caché pour recevoir des alertes anticipées sur les identifiants exposés.
    • Planifier un atelier de sensibilisation à la cybersécurité axé sur les meilleures pratiques de gestion des données.
    • Explorer l’intégration avec les plateformes CASB ou SASE pour unifier les contrôles infonuagiques et réseaux.

En combinant soigneusement et sélectivement les outils ciblés de prévention des fuites de données mentionnés ci-dessus avec des politiques pratiques et une formation continuelle du personnel, les PME canadiennes peuvent réduire considérablement les divulgations accidentelles et malveillantes des données tout en maîtrisant les coûts et la complexité.

Mise en œuvre d’outils de prévention des fuites de données au sein des PME : 6 recommandations concrètes et simplifiées

Effectuez un audit de la surface d’attaque afin d’inventorier tous les actifs internes et les principaux points de contact avec les tiers. Mettez en place une surveillance continue pour signaler les erreurs de configuration avant qu’elles n’entraînent des fuites. Suivez et appliquez les recommandations concrètes suivantes :

  1. Pilotez des solutions DLP optimisées par l’IA et exploitant l’analyse comportementale. Concentrez-vous d’abord sur les référentiels des données les plus importantes (renseignements personnels des clients, documents financiers, propriété intellectuelle) pour mesurer rapidement le retour sur investissement.
  2. Déployez un pilote Modèle à vérification systématique pour les applications à haut risque. Appliquez l’authentification multifactorielle et les contrôles d’accès basés sur les rôles, en les étendant à d’autres systèmes sur une période de 6 à 12 mois.
  3. Déployez la gestion des appareils mobiles (MDM) et le chiffrement des terminaux sur les ordinateurs portables et les appareils mobiles. Inclure des fonctions d’effacement à distance et de géorepérage pour sécuriser les données sur les équipements perdus ou volés.
  4. Mettez à jour ou élaborez une politique DLP complète couvrant les procédures de classification, de traitement, de conservation et d’archivage. Associez cette politique à des formations régulières des employés et à des simulations d’hameçonnage.
  5. Intégrez des outils d’automatisation de la conformité qui analysent vos processus par rapport aux lois locales, nationales et sectorielles sur la protection des données, générant ainsi des pistes d’audit en temps réel.
  6. Établissez un Plan d’intervention face aux incidents (PIFI) des fuites de données, avec des flux de travail d’escalade et des analyses rétrospectives, assurant une amélioration continuelle et une récupération rapide.

Conclusion

Comment les méthodes de prévention des fuites de données évolueront-elles dans le futur? Voici quelques tendances et perspectives pour prévenir les divulgations de données et éviter les répercussions sur les PME :

Systèmes DLP intelligents et contextuels

Les organisations vont au-delà des règles statiques pour adopter des heuristiques contextuelles et comportementales qui déduisent les intentions et signalent les anomalies en temps réel. En corrélant les heures de connexion, les empreintes digitales des appareils, les trajectoires de souris et les schémas d’accès, les solutions DLP avancées peuvent automatiquement mettre en quarantaine ou révoquer l’accès lorsqu’une activité suspecte est détectée. L’intelligence artificielle et les modèles d’apprentissage machine apprennent en continu à reconnaître la « normale », réduisant ainsi les faux positifs et s’adaptant aux nouvelles menaces sans réglage manuel. Les intégrations avec les plateformes UEBA (User and Entity Behavior Analytics – Analyse du comportement des utilisateurs et des entités) et SIEM enrichissent davantage les flux des travaux de tri et d’application des incidents.

Contrôles axés sur la confidentialité & intégrés à la réglementation

Les futures architectures DLP intègrent la conformité directement dans les flux de données, en étiquetant automatiquement les données personnelles (PII, PHI) et en appliquant des règles régionales, telles que Schrems II ou CCPA. Cette fusion de la gouvernance des données et de la DLP garantit le blocage en temps réel des transferts non conformes et génère des rapports prêts pour l’audit sur demande. Des moteurs de classification semi-automatisés alimenteront des tableaux de bord de conformité dynamiques, minimisant ainsi les efforts manuels et les risques réglementaires. Les organisations qui maîtrisent cette intégration gagnent en transparence et en agilité face à l’évolution des lois sur la confidentialité.

Protection des nouveaux types de données

La prochaine étape de la DLP étend l’analyse au-delà des documents, aux données audio, vidéo et aux flux en direct. Les avancées en TALN et en reconnaissance vocale permettent d’inspecter en temps réel les conversations en salle de conseil d’administration, les messages vocaux ou les vidéoconférences à la recherche de mots-clés et de modèles confidentiels. Avec le multimédia devenant un canal commercial majeur, les outils de DLP exploiteront l’OCR, la correspondance de modèles et l’extraction de métadonnées par l’IA pour sécuriser tous les formats. Les premiers utilisateurs des secteurs de la finance et de la santé testent déjà des défenses contre l’exfiltration audio en direct.

Modèle à vérification systématique & architectures distribuées

Les principes du Modèle à vérification systématique redéfinissent la DLP en traitant chaque requête comme non fiable jusqu’à sa vérification. Le Modèle à vérification systématique centré sur les données applique la micro-segmentation, l’authentification continuelle et les autorisations juste à temps au niveau des fichiers et des objets. Connexe à Secure Access Service Edge (SASE), les entreprises peuvent unifier les contrôles réseaux et de sécurité, garantissant ainsi la cohérence des politiques sur place, dans l’infonuagique et sur les terminaux distants. Ce modèle holistique réduit considérablement la surface de cyberattaque pour les mouvements latéraux.

Solutions pour environnements infonuagiques natifs & hybrides

La majorité des charges de travail étant désormais hébergées dans des environnements informatiques publics ou multi-infonuagiques, les solutions DLP évoluent vers des services infonuagiques natifs ou Cloud Access Security Brokers (CASB). Elles offrent une visibilité évolutive et pilotée par API sur des plateformes telles que Google Workspace, Microsoft 365, AWS et Salesforce. Le chiffrement intégré, les sauvegardes continues selon la règle 3-2-1 et la détection des anomalies en temps réel garantissent la protection de millions de données au repos, en mouvement et en cours d’utilisation. L’application automatisée des politiques couvre les environnements SaaS, IaaS et PaaS avec une charge opérationnelle minimale.

Mesures prédictives et proactives

L’analytique prédictive – alimentée par les flux de renseignements sur les menaces et l’historique des violations – permettra d’anticiper les scénarios à haut risque avant qu’ils ne se matérialisent. Les modèles d’apprentissage machine, entraînés sur la télémétrie mondiale, peuvent anticiper les tactiques des cyberattaquants et prépositionner des contre-mesures pour les actifs essentiels. Entre-temps, une surveillance constante de la surface d’attaque, couvrant à la fois l’infrastructure interne et les écosystèmes des fournisseurs tiers, permettra de détecter les erreurs de configuration latentes et les angles morts, et de fermer proactivement les vecteurs de fuite de données.

Technologies émergentes à l’horizon

  • Chiffrement homomorphe et informatique confidentielle : permettent un traitement sécurisé des données chiffrées sans déchiffrement, réduisant ainsi les risques de fuites.
  • Intégrité établie sur la chaîne de blocs : des registres immuables enregistreront chaque accès et transfert de données, simplifiant ainsi les pistes d’audit et la détection des falsifications.
  • IA agentique dans la gestion des identités et des accès (IAM) : des agents IA autonomes ajusteront dynamiquement les privilèges des utilisateurs en fonction de leur niveau de risque et de leurs signaux comportementaux.

Mesures de prévention des fuites de données : perspectives abrégées

Au cours des cinq prochaines années, la prévention des fuites de données convergera vers la détection et l’intervention-réponse étendues (XDR), les cadres d’identité décentralisés et la cryptographie résistante aux cyberattaques quantiques. Toutes les organisations qui adoptent des stratégies axées sur l’IA et privilégiant la confidentialité et investissent dans des architectures adaptatives et natives de l’infonuagique seront les mieux placées pour devancer les cybermenaces et les exigences réglementaires émergentes. D’autres explorations pourraient inclure l’intersection de la DLP avec les technologies d’amélioration de la confidentialité (PET), le rôle des jumeaux numériques dans la simulation de scénarios de fuites de données, et les stratégies de sécurisation des données générées par les machines dans les environnements IdO et informatique en périphérie.

D’ici 2030, les PME qui adhèrent à ces prévisions considéreront la prévention des fuites de données non pas comme un fardeau coûteux, mais comme un facteur de différenciation concurrentiel. Les défenses automatisées et basées sur l’intelligence artificielle adapteront la sécurité à la croissance, tandis que des outils de conformité proactifs démystifieront les réglementations complexes. Les organisations qui combinent la visibilité de la surface d’attaque cybernétique, la prévision des fuites de données par l’IA et une posture mature du Modèle à vérification systématique obtiendront un modèle de cybersécurité adaptatif, capable d’apprendre de chaque tentative et de corriger les failles avant même que des données précieuses ne soient divulguées. Au-delà de ces prévisions, les PME devraient également explorer : (1) les indicateurs de culture de sécurité pour suivre le respect des politiques par les équipes informatiques au fil du temps; (2) les cadres de retour sur investissement en sécurité (ROSI) pour justifier l’adoption de nouveaux outils auprès des parties prenantes; (3) le partage des renseignements sur les cybermenaces au sein des consortiums sectoriels afin de bénéficier d’une vision collective. En incorporant ces éléments dans une feuille de route intégrée, les PME seront préparées non seulement aux fuites des données de demain, mais aussi à l’évolution du paysage des cybermenaces des années à venir.

Ressources et Références

  1. Guy Bunker et Gareth Fraser-King. Data Leaks for Dummies: Making Everything Easier. 1ère édition brochée publiée le 24 février 2019, O’Reilly Media Inc. – Entreprise américaine d’apprentissage, siège social : Sebastopol, California, USA, 432 pages. Data Leaks For Dummies: Making Everything Easier – 1st Paperback Edition – Book – O’Reilly Media Inc – American Learning Company
  2. Joe Reiss and Matt Housley. Fundamentals of Data Engineering: Plan and Build Robust Data Systems. 1ère édition brochée publiée le 26 juillet 2022, O’Reilly Media Inc. – Entreprise américaine d’apprentissage, siège social : Sebastopol, California, USA, 450 pages. Fundamentals of Data Engineering: Plan and Build Robust Data Systems – Book – O’Reilly Media Inc – American Learning Company
  3. National Institute of Standards and Technology (NIST). Ministère du Commerce des États-Unis. Rapport interne du NIST—NIST IR 8496 IPD. Data Classification Concepts and Considerations for Improving Data Protection, ébauche publique initiale, novembre 2023,17 pages. Data Classification Concepts and Considerations for Improving Data Protection – NIST Document for Continuous Learning
  4. Harvard University. PrivSec – Information Security and Data Privacy. The Data Lifecycle: About Policies, Standards, Awareness and Education. Cambridge, Massachusetts, USA. The Data Lifecycle: About Policies, Standards, Awareness and Education | Harvard University Information Security and Data Privacy – PrivSec
  5. Oleg Gusikhin, Slimane Hammoudi et Alfredo Cuzzocrea (Éditeurs). Data Management Technologies and Applications: Conference Proceedings, 12th International Conference, DATA 2023, Rome, Italy, July 11–14, 2023, Revised Selected Papers. Publication du 6 septembre 2024, Springer Nature Academic Publisher, Maison d’édition germano-britannique, siège social : Londres, Royaume-Uni, 242 pages. Data Management Technologies and Applications: 12th International Conference, DATA 2023, Rome, Italy, July 11–13, 2023, Revised Selected Papers | SpringerLink
  6. K. Selçuk Candan et Maria Luisa Sapino. Data Management for Multimedia Retrieval: Knowledge Management, Databases and Data Mining for Computer Science, Software Engineering and Development. Édition imprimée à couverture rigide de juillet 2010 et édition en ligne de juillet 2014, Cambridge University Press, Cambridge, Royaume-Uni, 500 pages. Data Management for Multimedia Retrieval: Knowledge Management, Databases and Data Mining for Computer Science, Software Engineering and Development
  7. Harvard University. PrivSec – Information Security and Data Privacy. Data Classification Table – Administrative Examples. Cambridge, Massachusetts, USA. Data Classification Table – Administrative Examples | Harvard University Information Security and Data Privacy – PrivSec
  8. David Feng, W.C. Siu & Hong Jiang Zhang (Éditeurs). Multimedia Information Retrieval and Management: Technological Fundamentals and Applications. Édition brochée publiée le 15 décembre 2010, Springer Nature Academic Publisher, Maison d’édition germano-britannique, siège social : Londres, Royaume-Uni, 476 pages. Multimedia Information Retrieval and Management: Technological Fundamentals and Applications | SpringerLink
  9. Ravi Jay Gunnoo. Cybersecurity Education Compendium: Harnessing Digital Safety Best Practices Across the World. 1ère édition originale publiée en livre broché (grand format) et en version numérique. Date de publication : 18 septembre 2024. Maison d’édition : Amazon USA Publishing, Seattle, État de Washington, USA, 728 pages, ISBN: 9798336620344. CYBERSECURITY EDUCATION COMPENDIUM: Harnessing Digital Safety Best Practices Across the World: Gunnoo, Ravi Jay: 9798336620344: Books – Amazon.ca
  10. John Ladley. Data Governance: How to Design, Deploy and Sustain an Effective Data Governance. 2e édition publiée en livre broché le 8 novembre 2019, Academic Press— une empreinte de Elsevier, Salt Lake City, Utah, USA, 350 pages. Data Governance: How to Design, Deploy and Sustain an Effective Data Governance – 2nd Paperback Edition | Elsevier Shop
  11. Mohan Subramaniam. The Future of Competitive Strategy: Unleashing the Power of Data and Digital Ecosystems. Édition à couverture rigide publiée le 16 août 2022. The Massachusetts Institute of Technology (MIT) Press, Cambridge, Massachusetts, USA, 312 pages. The Future of Competitive Strategy: Unleashing the Power of Data and Digital Ecosystems. Hardcover Edition – Massachusetts Institute of Technology Press – Result List – MIT Press
  12. Barbara Canton, Wayne Erdman, Jeff Irvine et al. Mathematics of Data Management Textbook—12 Student Editions. Édition brochée publiée le 19 août 2002, McGraw-Hill Ryerson Publishing, Milton (Ontario), Canada, 676 pages. McGraw-Mill Ryerson Publishing 2002 – Mathematics of Data Management Textbook – 12 Student Editions : Free Download, Borrow, and Streaming : Internet Archive
  13. Vijay Govindarajan et Venkat Venkatraman. Fusion Strategy: How Real-Time Data and AI Will Power the Industrial Future. 1ère édition à couverture rigide publiée le 12 mars 2024,Havard Business Review (HBR) Press, Boston, Massachusetts, USA, 224 pages. Fusion Strategy: How Real-Time Data and AI Will Power the Industrial Future (E-Book and Mini Masterclass with Vijay Govindarajan) – 1st Hardcover Edition – Harvard Business Review (HBR) Press
  14. Alex Berson et Larry Dubov. Master Data Management and Data Governance: Latest Techniques for Building a Customer-Focused Enterprise Environment. 2e édition à couverture rigide publiée le 6 décembre 2021, McGraw-Hill Osborne Media, New York City, New York, USA, 537 pages. https://www.mhebooklibrary.com/doi/book/10.1036/9780071744591
  15. Michael E. Kirshteyn. Data Governance Framework: A Comprehensive Guide to Success. Édition à couverture rigide publiée le 30 janvier 2024, Amazon USA Publishing, Seattle, État de Washington, USA, 277 pages. Data Governance Framework: A Comprehensive Guide to Success. Hardcover Edition. ISBN: 9798877992245: Computer Science Books @ Amazon.com
  16. David Plotkin. Data Stewardship: An Actionable Guide to Effective Data Management and Data Governance. 2e édition brochée publiée le 31 octobre 2020, Academic Press— une empreinte de Elsevier, Salt Lake City, Utah, USA, 248 pages. Data Stewardship: An Actionable Guide to Effective Data Management and Data Governance – 2nd Paperback Edition | Elsevier Shop
  17. Morgan Templar. Get Governed: Building World Class Data Governance Programs. Édition brochée publiée le 13 septembre 2017, Ivory Lady Publishing, 274 pages. Get Governed: Building World Class Data Governance Programs – ISBN: 978-0692951750: Templar, Morgan: Amazon.ca: Books
  18. Thomas Christopher Redman. Getting in Front of Data: Who Does What? 1ère édition brochée publiée le 13 août 2016, Technics Publications, Sedona, Arizona, USA, 190 pages. Getting in Front on Data: Who Does What – 1st Paperback Edition – Technics Publications
  19. Bureau du Commissariat à la protection de la vie privée du Canada. Mesures et décisions prises par le Commissariat – Enquête visant les entreprises. Enquête sur la conformité à la LPRPDE de Desjardins suite à l’atteinte aux mesures de sécurité des renseignements personnels entre 2017 et 2019. Enquête publiée le 14 décembre 2020. Conclusions en vertu de la LPRPDE no 2020-005 : Enquête sur la conformité à la LPRPDE de Desjardins suite à l’atteinte aux mesures de sécurité des renseignements personnels entre 2017 et 2019 – Commissariat à la protection de la vie privée du Canada

Contributions

Nous remercions en particulier le Conseil national de recherches du Canada (CNRC) pour son soutien financier par le biais de son Programme d’aide à la recherche industrielle (PARI), lequel programme est bénéfique pour les PME innovatrices à travers les 10 provinces et 3 territoires du Canada.

Éditeur en chef de l’infolettre :

Alan Bernardi, SSCP, PMP, auditeur principal pour ISO 27001, ISO 27701 et ISO 42001
B.Sc. Informatique et Mathématiques, Université McGill, Canada.
Diplôme d’études supérieures en gestion, Université McGill, Canada

Auteur-Amazon USA, informaticien, rédacteur & traducteur professionnel certifié :

Ravi Jay Gunnoo, C.P.W. ISO 24495-1:2023 & C.P.T. ISO 17100:2015
B.Sc. Informatique et Cybersécurité, Université McGill, Canada
B.Sc. & M.A. Traduction Professionnelle, Université de Montréal, Canada

Ce contenu est publié sous une licence Creative Commons Attribution (CC BY-NC).

In-Sec-M

283 Boul. Alexandre-Taché Suite F3006,
Gatineau (Québec)
J9A 1L8

info@insecm.ca